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源 受 限 的 设备 如 RFID、 传 感 器 等 在 物 联 网 、 云 计算 以 及 智慧 城 
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摘 要 : 轻 量 级 分 组 密码 由 于 软 硬 件 实现 代价 小 且 功 耗 低 ， 被 广泛 地 运用 资源 受 限 的 智能 设备 中 保护 数据 的 安全 。 

Midori 是 在 2015 年 亚 密会 议 上 发 布 的 轻 量 级 分 组 密码 算法 ， 分 组 长 度 分 为 64 bit 和 128 bit 两 种 ， 分 别 记 为 Midori64 

和 Midoril128， 目 前 仍 没有 Midoril28 抵抗 中 间 相 遇 攻 击 的 结果 。 通 过 研究 Midoril28 算法 基本 结构 和 密 钥 编排 计划 特 
点 ， 结 合 差分 枚 举 和 相关 密 钥 筛 选 技 巧 构造 了 一 条 7 轮 中 间 相 遇 区 分 器 。 再 在 此 区 分 器 前 端 增加 一 轮 , 后 端 增加 两 轮 ， 
利用 时 空 折 中 的 方法 ， 提 出 对 10 轮 的 Midoril28 算法 的 第 一 个 中 间 se 整个 攻击 需要 的 时 间 复 杂 E 21265 次 
10 轮 Midoril28 加 密 ， 数 据 复 杂 度 为 225 选 择 明 文 ， 存 储 复 杂 度 2105 128-bit 块 ， 这 是 首次 对 Midoril28 进行 了 中 间 相 

遇 攻 击 。 
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Abstract: The lightweight block ciphers can be widely used in various applications, such as smart cities, internet of things and 
cloud computation and so on, in order to protect data and information secure. Midori is a lightweight block cipher proposed in 
ASIACRYPT 2015. Its block size has two scenarios, i. e, 64 bits and 128 bit, denoted by Midori64 and Midori128 respectively. 
Up to now, there are no results about meet-in-the-middle attacks on Midori128. This paper developed a meet-in-the-middle 
attack on 10-round Midori128 for the first time. Specifically, studying the basic construction and key schedule of Midori128, 
this paper constructed a 7-round distinguisher on Midori128 by using the differential enumeration and key-dependent sieve 
techniques. Through appending one round at its top and two rounds at its bottom, this paper mounted a meet-in-the-middle attack 
on 10-round Midori128. In the attack, time-memory tradeoff technique and some weak subkeys were considered so as to reduce 
the time complexity of online phase. Finally, the data, time and memory complexities of our attack are 2? chosen plaintexts, 
2265 10-round encryptions and 2105 128-bit blocks, respectively. 
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功 耗 低 等 特点 被 广泛 地 运用 到 资源 受 限 的 设备 中 保护 数据 的 安 


引言 


全 ， 但 高 的 实现 效率 必然 会 牺牲 一 部 分 安全 性 ， 因 此 研究 轻 币 


随 着 互联 网 技术 的 发 展 和 智慧 城市 的 建设 ， 存 储 和 计算 资 。 级 分 组 密码 算法 抵抗 各 种 有 效 的 攻击 手段 是 十 分 必要 的 。 
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市 中 运用 的 越 来 越 广泛 ， 如 何 保证 这 些 设 备 中 数据 的 安全 是 一 ”一 一 Midori。 该 算法 基于 SPN 结构 , 轮 数 为 20, 密 钥 长 度 为 128 
个 重要 的 研究 课题 。 轻 量 级 分 组 密码 由 于 其 软 硬 件 实现 效率 快 、 ”bit， 分 组 长 度 分 为 64 bit 和 128 bit 两 种 。 REABERAR. 
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录用 稿 


将 Midori 算法 记 为 Midori64 和 Midori128。 

Midori 算法 由 于 功 耗 低 、 实 现 效 率 高 ， 在 现实 生活 中 具有 
广泛 的 应 用 前 景 ， 而 研究 它 的 安全 性 可 以 为 未 来 在 现实 中 使 用 
提供 理论 依据 。 目 前 ，Midori64 的 安全 性 已 经 被 差分 攻击 、 
可 能 差分 分 析 、 相 关 密 码 不 可 能 差分 分 析 、 高 阶 差分 分 析 、 
间 相 过 攻击 以 及 不 变 子 空间 攻击 评估 过 RL 9，Midoril28 的 安全 
性 仅 被 差分 分 析 、 不 可 能 差分 分 析 和 相关 密 钥 差分 分 析 评 估 过 
19。 文献 [7,8] 利 用 不 可 能 差分 分 析 分 别 攻击 了 不 考虑 白化 密 
钥 情 况 下 的 10 轮 Midori128 和 11 轮 Midoril28; 文献 [9] 运 用 
了 差分 分 析 方 法 攻击 了 13 轮 Midoril28; 文献 [10] 给 出 了 
Midoril28 全 轮 的 相关 密 钥 差 分 分 析 。 但 目前 国内 外 研究 者 还 
没有 评估 过 Midoril28 抵抗 中 间 相 遇 攻 击 的 能 力 ， 而 中 间 相 遇 
攻击 是 近年 来 十 分 有 效 的 攻击 手段 ， 被 用 来 分 析 过 许多 著名 密 
码 算法 的 安全 性 并 得 到 该 算法 最 好 的 分 析 结 果 , 如 AES. 算法 0 
等 ， 因 此 研究 Midori128 抵抗 中 间 相 遇 攻 击 也 是 重要 的 。 

中 间 相 遇 攻 击 最 Diffie 等 人 0 提出 ， 其 主要 思想 是 将 
分 组 密码 分 为 两 个 部 分 或 者 三 个 部 分 (中 间 部 分 为 区 分 器 )， 然 
后 猜测 两 端的 相关 密 钥 来 加 /解密 一 系列 的 明 密 文 。 若 得 到 的 中 
间 状 态 值 相等 或 满足 区 分 器 的 预计 算 表 , 则 此 猜测 密 钥 被 保留 ， 
否则 被 排除 。 通 过 一 系列 明 密 文 最 后 可 以 筛选 出 正确 的 密 钥 。 
在 仔细 研究 了 Midoril28 算法 结构 和 密 钥 编排 计划 的 基础 
上 ， 首 次 提出 了 对 10 轮 Midori128 算法 中 间 相 遇 攻 击 。 在 攻击 
过 程 中 ， 利 用 差分 枚 举 技术 和 相关 密 钥 筛 选 技 术 构 造 了 一 个 7 
轮 的 中 间 相 遇 区 分 器 ， 再 在 区 分 器 前 端 增加 一 轮 ， 后 端 增加 二 
轮 ， 首 次 实现 了 对 10 f£ Midoril28 算法 的 中 间 相 遇 攻 击 。 


1 ”预备 知识 


1.1 符号 标记 
在 介绍 算法 之 前 ， 先 列 出 符号 标记 ， 具 体 如 下 : 


a)P C: 明文 ， 密 文 ; 

b) BBa: 轮 密 钥 

€) Xp Yo Zo Wi 分 别 表示 在 第 i 轮 的 单元 蔡 换 、 单 元 混合 、 
列 混淆 和 密 钥 加 操作 之 前 的 中 间 状 态 值 ; 

d xil]: 表示 i 轮 的 第 j 个 单元 ; 

e) BB[B]: 表示 一 系列 桓 [ 团 的 第 个 取 值 ; 

f) Ampie: Ag 四] = eales: 


P= PIP] 一 |???) 2|? 
g) PP: GI, = SEDES! (pr 


RS) 


b); 


h) Pa: B, = BEDOaEDDDDO (E 
1.2 Midori 算法 描述 

Midori 算法 是 2015 年 亚 密会 议 上 由 Banik 等 人 发 布 的 基 
T SPN 结构 的 轻 量 级 分 组 密码 算法 , 每 一 轮 的 轮 函数 包括 四 种 
运算 ， 分 别 为 单元 替换 (SubCel) 、 单 元 混合 (ShuffleCel) 、 列 混 
淆 (MixColumm 和 密 钥 加 (KeyAdd), 如 图 1 所 示 。 其 中 在 第 一 轮 
加 密 之 前 对 明文 有 一 个 轮 密 钥 加 操作 ， 最 后 一 轮 取消 了 单元 混 
合 和 列 混 清 操 作 ， 只 包括 单元 蔡 换 和 密 钥 加 操作 。 

将 Midori 算法 的 状态 表示 为 如 下 的 4x4 BER, EE 


41) B 


元 是 bit. 


AE 


刘 亚 ， 等 : 
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So S4 Ss Sp 
S= Si Ss Sy Sg 
S3 Se Sio S14 
S3 S7 Sl Sis 
单元 替换 (SubCelD): 每 一 个 字 节 运 用 非 线 性 S 合作 单元 普 
换 操 作 。 
ME 
ÉD" T pe 
M 3 E Pa A] z E n E g 


Shuff leCell 


ShuffleCell 


单元 混合 (ShuffleCelD): 按 字 节 做 移 


ShuffleCell 
t 


图 1 Mioril28 算法 构造 


立 操作 。 


2L. P. Pl., Pla. PP. 


日 H H 日 H H 


2119, 811, 812, E55, B4, È 


Q» 291» 72) €3, 


4) 5, 16, £17, 1g, 19, 


二 20, £110» Els, 


£15) H14, Zy 911, 81, 


?| ?| ?| ?| 


?| H ?| H 


do, £3, 912, Pg, 7, 213, H2, 


列 混淆 (MixColumn): 每 一 列 乘 以 4 x 48 M 4| 


—— Ac 


1 
0 
1 
1 


[2 me 


1 
1 
0 
1 


密 钥 加 (KeyAdd): 将 轮 密 钥 和 S 作 蜡 或 操作 。 


密 钥 编排 算法 :  Midoril28 算法 第 
一 轮 的 子 密 钥 是 128bit 3 
数 异 或 ， 即 rk; = KjOf;(1 € i € 19), 

定义 1(2-ó-set)! ? 


E 阵 运算 。 


轮 的 白化 密 


其 中 pi 为 常数 。 


2-6-set 将 一 个 状态 的 2 个 字 节 (活动 单 


其他 


ray 


元 ) 取 任意 值 ， 
一 个 集合 


14 NE E 


此 集合 共有 22x8 个 元 素 


RE 


定单 元 ) 取 固 定 值 


o 


F 一 个 给 定 的 S 盒 ， 


命题 1(S 盒 的 差分 特性 ) 对 了 


钥 和 最 后 


FE 密 钥 。 中 间 轮 密 钥 为 主 密 钥 与 一 个 常 


所 得 到 的 


若 输 入 差 


分 为 A;， 输 出 差分 为 A。， 则 平均 有 一 个 输入 值 x 满足 
SDS XBAi) = Apo 


2 ”中 间 相 遇 攻 击 简介 


中 间 相 遇 攻 击 最 早 是 ! 
应 用 于 Hash 函数 和 分 组 密码 万 
[14] o 已 的 AS 本 JR 


T 


若 对 某 个 明 密 文 对 (P, C), 
的 猜测 值 是 正确 的 ， 否 则 即 
算法 E 分 解 成 三 个 部 分 E = ES Emin? E1 ， 
多 轮 的 区 分 器 , Ei 和 Es 部 分 


Diffie 和 Hellman 提出 的 


其 是 AES 算法 的 安全 性 分 析 中 


， 被 广泛 


理 有 两 种 : 第 一 种 将 加 密 算法 E 分 解 成 E = 
E;^E, , 其 中 El 和 Es 部 分 的 密 钥 分 别 为 k1 和 kz, 猜测 ki 和 kz 的 值 ， 


Emin 部 分 预计 算 


s 


Jic, Fs RC, E(P, ka ) FUE CC, kz) 满 足 预计 算 的 


则 此 猜测 密 钥 是 


2000 年 ，Gilbert 等 人 05 利 
人 碰撞 攻击 。2008 年 ， Demirci 等 人 09 将 AES 中 间 相 遇 


的 相关 密 钥 分 别 
了 序 序列 ， 然 后 对 某 个 明 密 文 对 (P,C 〇 ， 猜 


2 中 Emin 中 
为 (Ku k2) 


[ETE (P, k1) = E;(C,k,); Dk, 和 ks 
为 错误 的 密 钥 ， 第 二 种 将 一 个 加 密 


存在 一 条 
,首先 在 


序 序列 ， 


E 确 的 ， 否 则 被 淘汰 。 


14568] AES 区 分 器 进行 7 FÈ 
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展 为 5 6, 并 改进 8 轮 的 AES-256 的 分 析 结 果 。 随 后 , 在 2010 。 ABE[5] = AmP[e] 和 arelas] = AB[12]@AB[13] . 由 于 
年 ，Dunkelman 等 人 L171 提出 了 差分 枚 举 技 巧 等 几 个 降低 预计 算 ABD [0~3,5,7~14] 已 知 ， 故 可 计算 Age[o~57~13,15] 和 
参数 的 方法 ， 改 进 7/8 轮 AES-192/256 的 中 间 相 遇 分 析 结 果 。 Agl@[0~6,8~14,15] 的 值 。 又 因为 A@" 回 @ 6,14) 的 值 之 前 已 经 
2014 年 ，Li 等 人 08 利 用 密 钥 编 排 规律 ， 改 进 了 5 轮 AES 的 中 计算 出 ， 所 以 根据 命题 1， 可 以 计算 出 gr[0~5,7~13,15] 和 
间 相 遇 区 分 器 ， 并 给 出 了 9 轮 的 AES-192 的 中 间 相 遇 攻 击 。 p» 
2016 4E, CERLAN T 28 41 CIS BI AKA S E UE DET 0C pio 
构造 6 轮 中 间 相 遇 区 分 器 ， 进 一 步 降 低 预 计算 参数 ， 并 改进 10 


zi 


0-35-1012-15] . 然后 根据 aem] 
0,2,3,9,10,11] 的 值 ， 计 算 


(826,14) 和 
2,,[0,1,6,8,9,14] ft! fi o 


四 


[ 
[ 


it AES-256 的 分 析 结果 。 此 外 ， 文 献 [19~22] 也 给 出 了 LED 、 m | 
CLEFIA, Camellia, TWINE, LBlock 算法 的 中 间 相 遇 分 析 。 " i E 3 E 
3 1036 Midori128 算法 的 中 间 相 遇 攻击 问题 T " NN : 
IN. NM 
首先 运用 差分 枚 举 和 密 钥 筛 选 策略 构造 一 个 7 轮 中 间 相 遇 SEE Maie RENE REN T p 
区 分 器 ， 如 图 2 所 示 ， 然 后 在 此 区 分 器 的 前 端 增加 1 轮 ， 后 端 a 
曾 加 2 轮 实施 了 对 10 轮 Midori128 算法 的 中 间 相 遇 攻 击 。 2 S n ; 


加 | mi p j: 
3.1 10 轮 Midori128 中 间 相 遇 区 分 器 n ii | | g B 门 : 
在 图 2 中 ， 因 为 M 


Sy aes[5] = Bs[4] €P Be[l6] ® Be[7], Be[6] = 
ae[4] D Be[5] DB Be[7]， 所 以 Be[5] ® Be[6] = Be[6] Co Bel[5]。 令 


nay = Bel6] © Bel5] ， Pam = Bol5] E Bol6] IU Pem = Pen EL | EE PE p E 
ape[5] ® aas[6]。 | 


Y 


命题 2 12] cp, a pl, .., p? p 


"Jj 


, 


了 一 个 3- 8 -set 。 取 节 ,然后 再 依次 选取 18 MAC = 1,18) 1. ER 
使 得 其 经 过 S 盒 运 算 后 满足 Ag@a[3] = Am [12]. 将 这 19 个 值 经 
过 7 轮 加 密 ， 若 此 集合 中 一 个 元 素 满足 图 2 中 的 截断 差分 ， 则 " " " NN E 
与 19 ^ d& dü 3x mU 14 bit 的 有 序 序 列 A. uam. E | HE 
Poto DP UE NEM "stg PS aO.) 35294. E 

证 明 WRR, 8 — ALBOS (eB e i R . : : 一 一 一 - 
时 ， 那 么 经 过 7 轮 加 密 后 ， 输 出 差分 序列 dm NI UI. 
Dio, 本 En …, 82 DEQ0) 的 值 是 由 如 下 46 个 字 节 决 HHHH HP H m d d 
定 的 : 

25^ [3,12] Il 8? [9,10] Il 2%°[0,2,3,9,10,11] T l 7 li 

I 82 [0,1,2,3,4,5,7,8,9,10,11,12,13,15] 7 --di 


I Be? [0,1,2,3,4,5,6,8,9,10,11,12,13,15] 
I 825 [1,3,4,9,11,12] I| 8/2; [4,11] 


图 2 Midoril28 算法 7 轮 中 间 相 遇 区 分 器 


可 以 进一步 将 上 述 46 个 字 节 减少 到 如 下 31 个 字 节 : X Jang [4,7] = Ang [4,7] = 0, 所 以 ABs[5] = ABe"[6]。 因为 
s [9] I| Ag; [3] Il 8^ [9,10] II 23° [0,2,3,9,10,11] Ag [5] fig [4,11] DAT, Mang [4,11] RAE [1,344,9,11,13] T. 
I 4827 [0,1,2,3,5,7,8,9,10,12,13,14] T&5[13,4,9,1112] CA, Sc HE SEH AS? [1,3,4,9,11,13]. JH. 
I 85^ [1,3,4,9,11,12] II Bee [4,11] Il AB" [5] 根据 输出 差分 的 逆 运算 推导 出 AB@[0~6,8~13,15]。 同 样 地 ， 根 


事实 上 ， 由 于 差分 存在 关系 Ag@"[3] = ABP[12] = ABP[9] 2 — dE EE 1, PHABP[0-68-14,15] Fl Az  [0—6,813,15] FT EL tH 


[P] 


Aaa aoas] = 0. 故 可 计算 Ag@e[9,10] 的 值 。 再 根 。 mp [o~6,8~14,15] . 根 据 mr[411] ， 8[1,3,4,9,11,12] 值 ， 
据 臣 [9,10] 的 值 ， 可 计算 出 Agse[9,10] 的 值 ， 进 而 可 以 推导 出 eC [0-68-14,15]HI DA i ft dag; [4,11]; g2[1,3,4,9,11,12]. Tis 
ARR [0,2,3,9,10,11] 的 值 。 又 因为 区"[0.2,3,9,1011 E A1, PEEL — mE [0-68-1415] 和 smP[0-57-1315] 可 以 计算 出 
Agle[0,2,3,9,10,11] 的 值 可 计算 。 类 似 地 ， 可 以 计算 Agee[ 回 人 @ 坟 AP; [0,1,2,3,7,8,9,10,14] FHER; [0,1,2,3,4,11,12,13,15]. 
614). fiiis [9,10] 和?[0,2,3,9,10,11] 的 值 同 时 能 够 计算 出 为 ， 根 据 列 混淆 运算 知道 mago]esa10] = 
22; [1,8]. a9e[9]@@Bee[10]， 并 且 Bge[9,10] 可 以 由 本 s[9,10] 推 导出 , 所 以 可 
因为 ，Age[7] = Am? apane [s]e AG [6] = 0. APP [14] = ”以 计算 出 甸 6[10]。 根据 密 钥 编排 规律 , m [9,10] n] UL Aera [9,10] 
Ag [12] A87 [13] 9 A87 [15] = 0; J Hane [4] = 0. 所 以 , 得 到 EE 导出， 并且 已 经 知道 BP[9,10]， 可 以 计算 出 Bo[9,10]。 因 为 ， 
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chinaXiv 


录用 稿 
列 混淆 运算 知道 gr[9] = gms] [10] e; [11]. By?[10] = 
a [sg]e[o]er [11]. f» ep [s]es [10] = g[9]eg[10] - 


知道 Bye[9]， 可 以 算出 gy 


irem. [1,8] Hf SP Hh 


FJ 


[411] 


可 以 被 加 s[411] 


E 导 出 


Fy 


2. [1,3,4,11,12] 和 推 


导出 。 根 了 


个 字 节 降低 到 31 个 


2, [0,1,8,9,14] n] 以 被 


[10]. 根据 密 钥 编 


排 规律 ， 枢 3[18] 可 以 


a[0,1,8,9,14] 推 导出 ， 


H 


FJ 


, 


3 [1,3,4,11,12] 可 以 被 


居 依 赖 密 钥 盘 选 技术 ， 可 以 将 46 


字 节 ， 共 226 种 可 能 值 。 


P 
KA 
rk, E: » 五 w 
sh w 
-6 - 
ii 
KA 
rk, x» y 
E 国 E 
> 日 下 
[s] E [| 
KA 
一 | 7-round distinguisher I—34 
KA 
为 Ww 
BENE BER. I. - 
H 
KA 
rk, X Jn 
napi iet 
E 


Tko 
1 i 
- 


B8 


图 3 


3.2 


端 增加 一 轮 ， 在 


10 $È Midori128 的 中 间 相 遇 攻 击 


相遇 攻击 。 如 医 
和 密 钥 筛选 阶段 。 
1) 预计 算 阶 段 


KA 


10 $ Midori128 中 间 相 遇 攻 击 过 程 
基于 Midoril28 算法 的 7 轮 中 间 相 遇 区 分 器 ， 在 
区 分 器 后 端 增加 两 轮 来 构造 一 个 10 


3 所 示 。 攻 击 过 程 分 为 两 个 部 分 : 预计 算 阶段 


区 分 器 前 
轮 的 中 间 


在 这 一 阶段 ， 


Zo 


需要 建立 


E: 


[a 


Bh Po pP 
Ppa D Erg, 
计算 表 本 (1 xe 


B: 猜测 T2bi 


Porn DE, > 
«€ 6). 


P 


t ABg[5] Il Ba[4,1 


1] I B 


ao 来 存储 所 有 的 有 序 序列 


能 值 ， 则 可 计算 


1| 
LH 


EU 
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H83[,8], 


FJ 


as[18] = & [1,8] 8, [1,8] - 


2, [9,10] ££ fi TE 


应 25 个 存储 值 。 


A 
A@s[0,5,10,15] ， 
A 


H^ : 猜 测 


2[1,3,4,11,12] 所 


ae[012,3]， 通 过 


并 通过 


as[18]， 进 而 可 以 通过 关系 式 得 到 
又 因为 AB,[3] = ABz[12]， 故 可 计算 


出 A@s[9,10] 和 AB4[0,2,3,9,10,11], 从 而 可 计算 出 AB4[0,2,3,9,10,11] 
fIAB,[0,1,6,8,9,14] 。 然 后 , 将 A [0,1,6,8,9,14] II &4[0,2,3,9,10,11] II 
gr, 并 


FU 


2, [1,8 D E SR, 每 一 个 检索 值 对 


112 


有 可 能 值 ， 


AB6[13,4 


r EL 


可 以 


ml, 


"3l 


， 并 通过 
个 检索 
EE 猜测 


NES 


四 


;[0,1,2,3]08[0,1,2,3] 。 将 
2; [0,1,2,3] I| AE 
值 有 1 个 存储 值 。 
80bitAB4[0， 
JyAm.[7] = 0， 所 以 Ags[5] = ABs[6]。 通 过 Agus[0,6,8,9] 
可 计算 出 ABs[14,11] ， 
A@e[4,5,6]， 通过 A 


吐出 @s[0, 


bit AB,[1,6,8,9,14] Il ABs[0,1,2,3] 1 
通过 AB4[16,8,9,14] 可 计算 出 


通过 Ags[0,1,2,3] 可 计算 出 Ags[05,10,15] 和 
,1112] 可 计算 出 AB6[0,12,3]。 根 据 命 


5,10,15] #1 85[0,1,2,3] , 进而 计算 出 


FJ 


2; [0,1,2,3] #25 [0,1,2,3] 并 可 


V H o VE SER Sg. 012,3] = 


2 [0,5,10,15] II &lg[0,1,2,3] f fil XE X Bs 


4[1,6,8,9,14] Il A85 [1,3,4,11,12] KRZ, 


3 


6,8,9] Il AB [5,7] Il ABe[13,49] 所 有 可 


i A8; [5,6,7] HJ il $3: H AB [1,4,11] 和 


6[1,3,4,9] 可 计算 出 Agle[4,5,6]。 根据 命题 1,， 可 


以 推导 出 熙 [411] 和 区 [45,6], 进 


而 计算 出 @s[5,6,7],@s[4] 和 


[7] 并 能 得 到 BE 


5[ 


7] 


= B [7]e8s[7], BEs[4] 


= 加 [4]@B6[4] 。 将 


AB4[0,6,8,9] 


所 有 可 能 值 ， 


然后 ， 可 


Ps [1,4,11] II Ble[4,5,6] 存 
Il Agle[1,3,4,9] 来 检索 , 每 一 个 检索 值 有 1 个 存 
2. : 猜测 96 bitAB,[0,1,8,14] I| A@s[8,9,10] Il ABe[3,4,9,11,12] 
38 xt Ag,[0,1,8,14] 可 计算 出 ABs[3,9,12] 38 3X 


i TEX B. 中 ， Jf a8 xt ma [7] Il eps [4] Il 


Ag8,[89,10] 可 计算 出 AB[3,9,12] 


A@6[3,4,9,11,12] 可 计算 出 A 
出 [3,9,12] 和 @6[8,9,10,11], 进而 计算 出 @s[8,9,10] 和 画 s[8,9,10,11]。 


赃 值 。 


和 AB[8,9,10,11] ， 通 过 


根据 命题 1， 可 以 推导 


6[8.9,10,11] 。 


AB4[0,18,14] Il AB 


储 值 。 


B. : 猜测 


A; [3,9,12] II Bg [8,9,10,11] 存储 在 表 晶 中， 
6[3,4,9,11,12] 来 检索 , 每 一 个 检索 


80 


以 计算 出 本 [8,9,10] = 配 [8,9,10]@Bs[8,9,10] 。 将 


通过 


RS) 


2, [8,9,10] Il 
值 有 1 个 存 


bit A8,[0,1,6,9,14] Il APs [12,13,14] II 


2; [12] ABl 


epe), EEIZ, mE 


7[1,3,4,9,11,12] 所 有 可 


7[1,3,4,9,11,13],E 


7[4,11], Be[4,11]， 进 而 可 得 


能 值 ， 则 可 计算 出 E 
| 


算 出 ABS [4,11] 
^8; [1,3,4,9,11,12] 和 


= B;[411]9Bs[4,11]. XAAR [5] = ABs[6]， 故 可 


和 A8,[1,3,4,9,11,12] ， 


ABe[13,4,9,1112] 。 


从 而 可 计算 出 


将 A@e[1,3,4,9,11,12] II 


8; [1,3,4,9,11,12] Il Bs [4,11] f£ ERE 


索 , 每 一 个 检索 值 对 
25: 猜测 72bi 


应 226 个 存储 值 。 


t AB;[3] Il B@s[9,10] | 


1 中 ， 


H 


SU 


并 通过 本 7[4,11] 来 检 


到 


Fy 


2 [12,13,15] 


FJ 


储 值 。 


2, [0,2,3,9,10,11] Pr FI 


FS 
ES 


7[4,11] 。 


He[1,9,11,12] 所 有 


AB, [0,1,6,9,14] I| AP 


可 能 值 。 
[13]; 通过 A 


过 Ags[12,13,14] 可 计算 出 ABs[2.7,8,13] 和 Agle[12,13,15]， 通 
AB6[19,1112] 可 计算 出 Age[12,13,15]。 根 据 命 题 1， 可 以 推导 出 
as[2,7,8,13] 和 四 6[12,13,15], 进而 计算 出 @s[12,13,15]， 
A; [12,13,15] 98,,[12,13,15] 。 


为 为 ABs[14] = 0， 所 以 ABs[15] = 
0,1,6,9,14] 可 计算 出 A@s[2,7,8,13], 通 
~ 


r 一 


然 后， 将 


5[2,7,8,13] Il Bg [12,13,15] TF EKA P, 


&[1,9,11, 


2: 猜测 96bitB@s[0,1,2,3,7,8,9,10] II 2P; [4,12,13,15] Pt 
做 如 下 运算 。 
根据 密 钥 编排 计划 ， 
然后 通过 


38388; [12,13,15] II 
12] 来 检索 , 每 一 个 检索 值 有 1 个 存 


— 


了 可 


通过 芽 4[4] 和 国 ;[8,9,10] 可 以 得 到 
&[411] 搜索 表 团 ， 得 到 值 


FS 


人 hin la V l^ i1 F H à 
录用 稿 X] 亚 ， 等 : Yo 4? Midoril2s Tl Jl uod 


D 


le [1,3,4,9,11,12] I| 8;[1,3,4,9,11,112] || Be[411] 。 同样 ， 通 过 计算 出 Ag1[2,8,13]，ABl1[2,3,13]。 根 据 命题 1， 可 得 到 1 [2,8,13] 


zi. [1,8],， 可 以 得 到 值 归 [1,8], RRR, f $/Am,[0,1,6,8,9,14] II 和 加 1[2,8,13]， 然 后 计算 出 本 0[2,8,13] = P[2,8,13] G8, [2,8,13] 和 
2, [0,2,3,9,10,11] || 8; [9,10] . ai[12] 。 将 加 [12] I AB,[12] II eno [2,13] F ft dE xx B rP,— Jf o8 o 
对 于 所 有 在 以 上 过 程 中 已 经 搜索 得 到 的 2322 个 什 ao[8] II AP[2,8,13] II P[2,8,13] 来 检索 , 每 一 个 检索 值 对 应 1 个 存 
ABe[13,4,9,11,12] Il 8; [1,3,4,9,11,12] Il 8s [4,11] II 储 值 。 
AB4[0,16,8,9,14] II 8; [9,10] I| 8,[0,2,3,9,10,11], 45 JM dm, mI EA 2,9: 猜测 40 bit AB,[3,12] Il &, [3,12] II A@,[3] 所 有 可 能 值 ， 
到 值 加 [0,5,10,15] I| @e[0,1,2,3]。 A Apa [7] mpa [4] Ci ku, 3Hxt ”计算 A@,[3,12]。 因 为 A@,[3] = AB?[12]， 根 据 命题 1， 可 以 得 到 
APs [7] Il B2; [4] Il A&4[0,6,8,9] Il ABe[13,49] 18 JU ze m, f SJ fü ^ m[312]fg, [3,12], 再 计算 Bg1[3,12] = 83 [3,12] 985 [3,12] - AA, 
2; [4,11,1] I| Be[4,5,6]。 同 样 地 ， 通 过 6s[8,9,10] Il AE, [0,1,8,14] II 将 丁 [3,12] Il er, [12] f£ fili Æ K Po H, X ERIS [3] I A2 [3,12] II 
A8;[3,4,9,11,12] 1 Jl] KA 4 EMEA [3,9,12] I| [8,9,10,11]. Ht [3,12] KER, 8E— PER EDEIZ 1 个 存储 值 。 
AA; [12,13,15] I| A24 [0,1,6,9,14] II ABe[19,1112] 检 测 表 区 得 到 值 接 下 来 ， 在 密 钥 筛 选 阶段 ， 首 先 要 找到 一 对 正确 对 满足 截 
As [7,13,2,8] Il @e[12,13,15]。 断 差 分 链 ; 再 通过 这 一 个 正确 对 计算 有 序 序列 
XE FA XE BS, B4, 四, 检测 到 的 值 @[0~5,7~13,15] II wp: DEPO. P2. DE, DE) 检测 其 是 否 满足 表 B， 最 
2,[0,2,3,9,10,11], 可 以 计算 出 [0,1,6,8,9,14] 和 画 [0,1,6,8,9,14], 从 后 利用 表 配 中 存储 的 密 钥 再 次 判断 计算 出 的 密 钥 


而 可 以 得 到 es[0,1,6,8,9,14] = 8,[0,1,6,8,9,14] 8, [0,1,6,8,9,14].. 2; [0,1,2,3,12,13] I| Bl [9] e MW EKo Jf xx Hh IESU uS D. 
= 同样 ， 通 过 区 [0~68~13,15] I 8;[1,3,4,9,11,12] 可 以 计算 出 假设 明文 P[0,2,5,8,10,13] 取 任意 值 ， 其 余 10 个 字 节 取 固定 
> ae[13,4.9,1112]。 根 据 密 钥 编排 计划 ， 通 过 上 @,[0,18,9,14] 和 —— (E. 这 样 形成 了 一 个 结构 , 共有 248 个 明文 值 , 可 以 形成 248+47 = 
aP [1,3,411,12] RT DA iE $E HH 2591008, [0,1,8,9,14] MPA; [1,3,4,11,12]. ”2%5 个 明 密 文 对 。 选 取 P[1,3,4,6,7,9,11,12,14,15] 的 255 个 不 同 的 
将 该 计算 出 的 值 与 原来 的 猜测 ws H wm.[0,1,8,9,14] II 值 , 也 即 选取 2113 个 明文 ， 形 成 2160 个 明 密 文 对 。 因 为 一 个 明文 
PPs [1,3,4,11,12] 进 行 对 比 。 如 果 两 个 值 相等 ， 则 保留 该 一 系列 的 。” ”对 能 够 满足 7 轮 截 断 差 分 链 的 概率 为 24-6+1-16)x8 = 2-160, 所 
值 24[9,10] Il 24[0,2,3,9,10,11] I Bs[@](@ 6,14) IL Bg[B](E zz. ”以 在 每 一 个 猜测 密 钥 下 ， 平 均 有 一 对 能 够 满足 截断 差分 链 。 加 
7,14) | Be[1,3,4,9,11,13] eB@7y[4,11]。 一 共有 2 了 ?个 检索 值 , 但 “” 密 这 2113 个 明文 得 到 密 文 ， 筛 选 出 满足 密 文 差分 为 
是 每 个 值 被 保留 的 概率 为 2-33， 所 以 最 终 有 23? 个 值 保留 下 来 。 ”AC[2,4,5,6,7,11,12,13,14,15] = 0 的 明 密 文 , 共 2150-10x8 = 280 明 


Fy 


FJ 


LH 


对 于 所 有 232 个 值 , 根据 密 钥 编排 规律 和 已 经 计算 出 的 密 钥 密 文 对 。 
ON 值 可 以 推导 出 gs[e,10] 并 且 计算 可 [9,10]。 根 据 列 混 清 运 算 ， 可 对 于 这 280 明 密 文 对 ， 做 如 下 操作 : 
57 以 知道 四 [9] e e [10] = &;[9] m [10]. Pr EUG 254 fie, [9]. a) 猜测 Ags[211 的 所 有 可 能 值 ,可 以 计算 出 


可 以 计算 出 外 [10] 并 此 推导 出 外 [3,12]。 由 此 , 得 到 所 有 46 FA ABio[013,89,10] ， 根 据 命 题 1， 通 过 Agio[013,89,10] 和 


= 的 参数 。 通 过 这 些 所 计算 的 参数 计算 有 序 序列 Ac[o1389310] 可 以 得 到 Bofo138910] ， 计 算出 
三 CO nO OW) > 并 H 将 辐 of013,8910]， 从 而 可 以 得 到 本 io[013,8,9,10] 的 值 ， 即 
'O 56bi tI [0,1,2,3,12,13] II gms[9] 的 值 一 并 保存 。 ape[2.11] 的 值 。 一 共有 2346 个 值 Aas[2.11] ， 所 以 推导 出 216 个 
s 2) six pr Bc AB[2,11] II 829[0,1,3,8,9,10] II 825 [2,11] II B10[0,1,3,8,9,10]， 对 于 
在 对 密 钥 进 行 筛选 之 前 ， 需 要 预计 算 4 个 预计 算 表 Ti(7 < QHR RK, 6850279 个 检索 值 go[5,6] I ABe[5]， 则 有 28 个 

USC Sed pa 值 满足 截断 差分 链 后 端的 差分 。 
P7: 猜测 72bitABo[5] l| Age[2,11] II Bio[013,89,10] 所 有 可 b) 对 于 23 个 值 B@i0[0,1,3,8,9,10] Il gpu[2.11], 根据 密 钥 编排 
ao[0,10] Il AP[0,5,10] II 


EE, PI At HAR [5,6]; B.[2,11]. KIAR [5] = ABe[6], TS — ib Xj. np Ait $E h Bmo[010]. 。 利 用 
据 命 题 1, 可 得 到 Bo[5,6], B.[2,11]. fAJ& WI bAirfEHiBES[2,11]- ”P[0,5,10] 搜 索 表 ls, 平均 来 讲 ， 对 于 每 一 个 检索 得 到 2-8 个 值 
画 [2,11]@Bo[2,11] 。 将 [5,6] I ABe[5] 存 储 在 表 芭 中 ， 并 通过 8Q[3] I AB@[3] II BE 平均 来 说 一 共有 1 个 值 
AP [2,11] Il 回 10[0,1,3,8,9,10] Il ABo[2,11] 来 检索 ,每 一 个 检索 值 对 10[0,1,3,8,9,10] I| 829 [2,11] Il 2, [3] Il AE, [3] IE@o[5] 被 保留 。 
应 2 个 存储 值 。 c) 对 于 这 一 个 值 印 0[0,1,3,8,9,10] Il Bis [2,11] Il B [3] I 
Pg: 猜测 56bitAP[O,5,10] II P[0,5,10] Il AB;[3] 所 有 可 能 值 ， 1[3] I E@o[5]， 根 据 密 钥 编排 计划 ， 可 以 计算 出 葛 o[83]， 搜 索 
可 以 计算 出 AB@;[0,5,10] Am,[0,5,10]. 。 根 据 命题 1， 可 得 到 Kop 平均 来 ,可 以 得 到 1 个 检索 值 B[12] Il AP, [12] Il 2202,13]. 
a, [0,5,10] 和 B.[0,5,10] ， 然 后 计算 出 辐 o[0510](= d) 对 于 以 上 步骤 中 已 得 到 的 值 葬 1o[013,89,10] II 
P[0,5,10]&8; [0,5,10]) 4 &,[3] 。 将 四 [3] II Ag [3] II EPEo[5] 存 储 在 a [3] Il AB; [3] II &29[2,5,13] I| 8, [12] I| AB:[12]， 可 以 
表 梧 中 ， 并 通过 Bo[0,10] I AP[0,5,10] II P[0,5,10] 来 检索 , 每 一 个 ” 38bxtemg3]i fimm, [3]. Jf Hf XE, 得 到 1 个 检索 值 
仿 索 值 对 应 2 个 存储 值 。 9 [3,12] 上 BB@1[12]。 最 终 对 于 每 一 个 明 密 文 对 来 说 ， 平 均 只 有 
ao: 猜测 56bitAP[2,8,13] Il P[2,8,13] Il AB;[12] 所 有 可 能 值 ， 1 个 可 能 值 88,9 [0,1,3,8,9,10] II B2 [2,11] I B80[0,2,5,8,10,13] II 
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录用 稿 刘 亚 ， 等 : 10 轮 Midori128 id 攻击 
aP [3,12] I| 四 [3,12] 。 了 Midoril28 算法 抵抗 中 间 相 遇 攻 击 的 能 力 。 分 析 结 果 表 明 ， 


e) 根据 有 序 序 列 的 差分 值 ， 改 变 @,[3,12] 的 值得 到 一 个 序 ”在 结合 差分 枚 举 和 依赖 密 钥 筛选 的 技巧 下 ，10 轮 的 Midoril28 
列 为 {EB, 配 ，…, 著 *}。 根 据 检测 到 的 密 铜 将 这 一 序列 算法 不 能 够 很 好 的 抵抗 中 间 相 遇 攻击 ,而 更 高 轮 数 的 Midoril28 
(E75, 87, e 22^ fe S t E Sc (I (Poo, Pa …,Paej， 并 且 计 算出 相 算法 目前 可 以 抵抗 中 间 相 遇 攻 击 。 
RE 88 X (C 同样 ， 用 所 求 的 密 钥 解密 得 到 

Fog Oy, Eig Obi, … [oy 若 所 计算 的 序列 值 不 在 表 

ao 中 ， 则 排除 相应 密 钥 。 若 序列 值 存在 表 @@ 中 ， 则 再 次 判断 密 本 文 主要 研究 了 Midoril28 算法 对 抗 中 间 相遇 攻击 的 安全 
钥 值 B@o[2,13] I 82, [3,12] I gao[0,13,9] 是 否 能 够 推导 出 表 @ 中 性 分 析 。 首 先是 利用 利用 差分 枚 举 技巧 和 依赖 密 钥 第 选 技巧 来 


4 ”结束 语 


Heas [0,1,2,3,12,13] I Bee[9]。 若 能 , 则 此 密 钥 被 保留 , 保留 下 来 ” ”构造 一 个 7 轮 中 间 相 遇 区 分 器 ， 并 且 在 这 个 区 分 器 前 端 增加 一 
[EE 2077198756 — 5764 , 轮 ， 后 端 增加 两 轮 ， 实现 了 对 Midori128 算法 10 轮 抵抗 中 间 相 

将 剩 下 215 个 密 铀 和 6 个 字 节 的 未 猜测 密 钥 进行 穷 举 搜索 。 ”过 攻击 。 最 后 运用 时 空 复杂 度 折 中 和 弱 密 钥 分 别 降低 了 攻击 的 
33 复杂 度 分 析 时 间 复 杂 度 和 存储 复杂 度 。 因此 , 整个 攻击 的 数据 复杂 度 21” 选 


攻击 的 复杂 度 分 析 分 为 预计 算 阶 段 和 密 钥 筛 选 阶段 两 部 分 。 择 明 文 , 时 间 复 杂 度 为 2126510 轮 Midoril28 加 密 ， 存 储 复杂 度 
在 预计 算 阶 段 ， 构 造 Ti 需要 对 19 个 信息 值 进行 3136 次 7 轮 的 部 2105128-bit 块 。 这 是 第 一 个 对 Midori-128 抵抗 中 间 相 遇 的 分 析 。 
分 的 加 密 ， 所 以 时 间 复杂 度 为 ?136x19x44/160-=2138 次 10 轮 会 
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